WPA-EAP ve MSCHAP-v2 ile wpa_supplicant.conf içinde şifreleri gizleme


23

Benim wpa_supplicant.confşuna benziyor:

network={
  ssid="Some name"
  scan_ssid=1
  key_mgmt=WPA-EAP
  eap=PEAP
  identity="my-user-id"
  password="(clear text password here)"
  ca_cert="/usr/share/ca-certificates/mozilla/GeoTrust_Global_CA.crt"
  phase2="auth=MSCHAPV2"
}

Bu özel WPA-EAP ve MSCHAP-v2 kombinasyonuyla, bu yapılandırma dosyasına şifremi açıkça eklememenin bir yolu var mı?

ChangeLog bunun mümkün olduğunu iddia ediyor gibi görünüyor (2005'ten beri!):

* added support for storing EAP user password as NtPasswordHash instead
  of plaintext password when using MSCHAP or MSCHAPv2 for
  authentication (hash:<16-octet hex value>); added nt_password_hash
  tool for hashing password to generate NtPasswordHash

Bazı notlar:

1 Anser bir karma şifre kullanmanın karma değerinin şifre olduğu anlamına geldiğini iddia ediyor. Bu teknik olarak doğrudur, ancak en azından karma, yalnızca hizmete açık bir paroladır; bu, birden çok hizmete erişim sağlayan paylaşılan bir parolayı sızdırma konusunda önemli bir ilerlemedir .

Yanıtlar:


20

Sen oluşturabilir NtPasswordHashaşağıdaki gibi kendini (aka NTLM şifre karma):

echo -n plaintext_password_here | iconv -t utf16le | openssl md4

Wpa_supplicant.conf dosyasında "hash:" ile önek girin, yani

password=hash:6602f435f01b9173889a8d3b9bdcfd0b

MacOS'ta iconv kodu UTF-16LE

echo -n plaintext_password_here | iconv -t UTF-16LE | openssl md4

Fazla güvenlik sağlamadığınızı unutmayın. Bir saldırgan dosyayı karması ile bulursa, ağa trivally katılabilir (bilgisayarınızın yaptığı gibi), bu nedenle şifreyi kullanmak hiçbir şekilde yardımcı olmaz. Parola başka bir yerde kullanılıyorsa, saldırganın orijinal parolayı bulmak için kaba kuvvet kullanması gerekir (örn. En olası parolaları deneyin ve bir eşleşme bulana kadar karma değerlerini hesaplayın). Sıradan bir bilgisayarda saniyede yaklaşık 1 milyar karma hesaplayabildiğiniz için, bu büyük bir engel değildir ve saldırganlar tuzsuz olduğu için önceden hesaplanmış tabloları kolayca kullanabilirler. NT şifre şifreleme algoritması olarak gerçekten korkunç.


Teşekkürler! Bu umut verici görünüyor, ama benim için çalışmıyor; bakarak -dwpa_supplicant izine, ben farklı olsun EAP-PEAP: Derived Session-Id, EAP-PEAP: Decrypted Phase 2 EAP, MSCHAPV2: auth_challenge - hexdump(len=16):, ve MSCHAPV2: password hash - hexdump(len=...)çıkışları ve son olarak iki mesajlar söyleyerek EAP-TLV: TLV Result - FailureveEAPOL authentication completed - result=FAILURE
Clément

Sadece açıklığa kavuşturmak için: MSCHAPV2: password hash - hexdumpBaşarısız hata ayıklama izinde bir çizgi alıyorum , bu teşvik edicidir (şifrelenmemiş olanın MSCHAPV2: password - hexdump_asciiyerine bir çizgi vardır ), ancak bağlantı başarısız olur
Clément

1
@ Clément Sadece doğru karmanın üretildiğinden emin olmak için: sisteminizde yürütülen yukarıdaki komut bu çevrimiçi hesap makinesi ile aynı karı hesaplar , değil mi?
Guido

1
Şifre 14 karakterden uzunsa bu işe yaramaz.
tjohnson

1
@Alden Çok ucuz. Doğrudan karma değerinden girişe geri dönmenin bir yolu yoktur, ancak eşleşen birçok parola bulabilir ve eşleşmesini bulana kadar karma değerlerini hesaplayabilirsiniz. MD4 çok hızlı, 6 yaşında bir GPU ile 2 saniyede 1 milyar .
Gilles 'SO- kötülük' dur

16

Açık terminal ve tip:

wpa_passphrase YOUR_SSID YOUR_PASSWORD

Örnek çıktı:

network={
    ssid="YOUR_SSID"
    #psk="YOUR_PASSWORD"
    psk=6a24edf1592aec4465271b7dcd204601b6e78df3186ce1a62a31f40ae9630702
}

wpa_supplicant.confDosyayı açın ve aşağıdaki satırı ekleyin:

psk=6a24edf1592aec4465271b7dcd204601b6e78df3186ce1a62a31f40ae9630702

2
Bir WPA PSK (SSID ve parolanın karma bir birleşimidir), NTLM karma / NtPasswordHash (yalnızca parolanın 16 bitlik bir MD4 karma değeridir) ile aynı değildir.
Guido

5
OP, WPA-PSK hakkında değil, WPA-EAP hakkında soru sordu.
Guido

2
Gönderi netleştirmediyse, özür dilerim: bu tam olarak listelediğim ilk kopyadaki çözüm değil. İstediğim yapılandırmada önceden paylaşılan bir anahtar yok.
Clément

1
bu, istenen belirli bir soru olmayabilir, ancak sorunumu çözmeme yardımcı oldu. Teşekkür ederim.
typelogic
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.